Супер администратор SSO

Единый вход для суперадминистраторов поддерживается только при использовании устаревшего профиля SSO и только в некоторых случаях (см. ниже). Он не поддерживается более новыми профилями SSO .

Разрешение единого входа (SSO) для суперадминистраторов имеет как преимущества, так и риски. Аутентификация всех пользователей (включая администраторов) через SSO минимизирует область, в которой управляются учетные данные пользователей. Но если ваш поставщик идентификации (IdP) будет скомпрометирован, третье лицо сможет получить доступ к консоли администратора Google и ко всем аспектам учетной записи вашей организации.

Чтобы снизить этот риск, если вы включаете единый вход (SSO) для суперадминистраторов, мы рекомендуем также включить двухфакторную аутентификацию (2-факторную аутентификацию) для суперадминистраторов как в вашем поставщике идентификации (IdP), так и в Google.

Как отключить единый вход для суперадминистратора

Чтобы отключить единый вход для суперадминистратора, используйте новые профили единого входа . Для перехода с устаревшего профиля единого входа на профили единого входа следуйте этим инструкциям .

Когда суперадминистраторы могут входить в систему с помощью единого входа (SSO)

Если вы используете устаревший профиль SSO, суперадминистраторы могут входить в систему с помощью SSO в следующих случаях:

  • В параметре «URL-адреса служб для конкретного домена» установлено автоматическое перенаправление пользователей на стороннего поставщика идентификации.
  • Когда вход в систему суперадминистратора инициируется поставщиком идентификации (единый вход, инициированный поставщиком идентификации).
  • Если суперадминистратор изначально входит в Google, используя учетную запись, не являющуюся суперадминистратором, а затем предоставляет свои учетные данные суперадминистратора при перенаправлении на IdP, в этом случае Google примет подтверждение личности суперадминистратора от IdP.

Когда суперадминистраторы не могут войти в систему с помощью единого входа (SSO)

Даже при использовании устаревшего профиля SSO суперадминистраторы не могут войти в систему с помощью SSO в следующих случаях:

Административная консоль

Когда суперадминистраторы пытаются войти в домен с поддержкой единого входа (SSO) через admin.google.com , им необходимо ввести полный адрес электронной почты своей учетной записи администратора Google и связанный с ней пароль Google (а не имя пользователя и пароль SSO), а затем нажать кнопку «Войти» , чтобы получить прямой доступ к консоли администратора. Google не перенаправляет их на страницу входа через SSO.

Клиент синхронизации Google Диска

Когда суперадминистраторы входят в клиент синхронизации Google Drive, они обходят SSO — Google не перенаправляет их на страницу входа через SSO. Это относится к попыткам входа через браузеры, мобильные приложения (такие как приложения Drive и Gmail для iOS), процесс активации учетной записи Android и так далее.